招标
关于选聘海南热带雨林国家公园监测设施运营管理项目邀标的公告
金额
-
项目地址
海南省
发布时间
2023/10/19
公告摘要
公告正文
一、项目名称
海南热带雨林国家公园监测设施运营管理项目。
二、项目概况
本次对五指山分局智慧管理游客中心综合运营管控系统(三级)进行网络安全等级保护测评和密码应用安全性评估进行邀标。
三、邀标单位
海南热带雨林国家公园管理局五指山分局。
四、招标方式
竞争性磋商
五、报名资格要求
1、具有独立法人资格,持有合法有效的法人证书,并配备符合行业要求的技术人员,需提供事业单位法人证书、营业执照和相关资质材料(复印件加盖单位公章)。
2、本项目的特定资格要求:供应商在国家密码管理局公布的国家密码管理局公告(第42号)《商用密码应用安全性评估试点机构目录》中;供应商具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书。
六、报名所需资料
1、报价函,报价明细,报价函格式自拟;
2、须提供法人证书(副本)和相关资质证书(留复印件,复印件加盖公司公章);
3、必须为未被列入信用中国网站(www.creditchina.gov.cn)的“失信被执行人”、“重大税收违法案件当事人名单”、“政府采购严重违法失信名单”;(提供查询结果的网页截图并加盖单位公章);
4、提供前3年内在经营活动中没有重大违法记录的书面声明并加盖公章;
5、现场报名人员须提供法人授权委托书(附双方身份证复印件和联系方式);
6、提供单位近期工作业绩。
以上材料按照顺序装订并密封。
七、报名时间
2023年10月19日至2023年10月23日。
八、报名地点
海南热带雨林国家公园管理局五指山分局五指山市三月三大道河南一横路1号。
九、发布公告的媒介
本次选聘公告在五指山市人民政府网站发布。
十、联系人及联系方式
罗绍忠 18889108600
海南热带雨林国家公园管理局五指山分局
2023年10月19日
用户需求
1.项目背景
通过委托专业的网络安全等级保护测评和商用密码应用评估服务机构,对五指山分局智慧管理游客中心综合运营管控系统安全保护等级进行需求分析,并协助用户方完成备案相关事宜。依据等保2.0标准和密码标准体系,如《信息安全技术 网络安全等级保护基本要求》(GBT22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GBT28448-2019)、《信息安全技术 信息系统密码应用基本要求》(GBT 39786-2021)、《信息系统密码应用测评要求》(GMT 0115-2021)对信息系统的物理机房、网络结构、应用系统、主机、网络及安全设备等进行合规性检查,分析信息系統与安全保护等级要求及密码应用要求之间的差距,并出具《网络安全等级保护测评报告》和《商用密码应用安全评估报告》及提出具有针对性的整改意见。
2.项目工期和地点
项目实施工期:至合同签订起50日内提交测评报告及相关文档。
地点:用户指定。
3.项目需求
3.1.网络安全等级保护测评
3.1.1.测评内容
1、对用户的信息系统进行摸底、分析和梳理,提出详细的测评方案及完成系统备案工作。
2、逐一对信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全测评;
(2)安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全测评。
3、完成测评工作后,出具符合等保要求的网络安全保护等级测评报告,提出整改意见。
3.1.2.测评输出(包括但不限于以下内容)
(1)网络安全等级保护定级相关文件和报告;
(2)网络安全等级保护测评报告。
3.1.3.测评对象描述
测评对象信息如下:
3.1.4.测评服务要求
网络等级保护测评过程需按照《信息安全技术 网络安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
(1)测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。
详细要求见下表:
(2)方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。
详细要求见下表:
(3)现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
详细要求见下表:
(4)报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。
详细要求见下表:
3.2.商用密码应用安全评估
3.2.1.评估内容
1、对商用密码应用方案进行分析和梳理,确认相关密码应用设计和建设以及重要敏感数据,提出详细的评估方案。
2、逐一对信息系统进行商用密码应用安全评估,评估的内容包括但不限于以下内容:
(1)安全技术测评:包括物理和环境安全、网络和通信安全、设备和计算安全和应用和数据安全四个方面的安全测评;
(2)安全管理测评:包括安全管理、人员管理、建设运行和应急处置四个方面的安全测评。
3、完成评估工作后,出具符合密评要求的商用密码应用评估报告,提出整改意见并协助完成系统备案。
3.2.2.评估输出(包括但不限于以下内容)
(1)商用密码应用评估备案相关文件和报告;
(2)商用密码应用安全评估报告。
3.2.3.评估对象描述
评估对象信息如下:
3.2.4.评估服务要求
信息系统开展的实际密码评估,按照《信息系统密码应用基本要求》,结合《信息系统密码测评要求》给出每个要求条款的评估实施方法。首先给出总体要求、典型密码产品应用、密码功能的评估实施方法,然后从密码技术应用的物理和环境、网络和通信、设备和计算、应用和数据及安全管理等方面进行评估。评估过程分为四项基本评估活动:评估准备活动、方案编制活动、系统评估活动、分析与报告编制活动。评估双方之间的沟通与洽谈应贯穿整个评估过程。
3.2.4.1.评估准备活动
u评估准备活动的工作流程
评估准备活动的目标是顺利启动评估项目,准备评估所需的相关资料,为顺利编制评估方案打下良好的基础。
评估准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。
u评估准备活动的主要任务
Ø项目启动
在项目启动任务中,评估机构组建密码评估项目组,获取评估委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个评估项目的实施做基本准备。
☞输入:委托评估协议书、保密协议等。
☞输出/产品:项目计划书。
Ø信息收集和分析
评估机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和商用密码保护情况,为编写评估方案和开展系统评估工作奠定基础。
☞输入:调查表格,被测系统总体描述文件,被测系统商用密码总体描述文件,安全管理制度文件,密钥管理制度,各种密码安全规章制度及相关过程管理记录、配置管理文档,评估委托单位的信息化建设与发展状况以及联络方式;密码应用方案及评审意见,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次测评报告。
☞输出/产品:完成的调查表格。
Ø工具和表单准备
评估项目组成员在进行系统评估之前,熟悉与被测系统相关的各种组件、调试评估工具、准备各种表单等。
☞输入:各种与被测系统相关的技术资料。
☞输出/产品:选用的评估工具清单,打印的各类表单,如系统评估授权书、风险告知书、文档交接单、会议记录表单、会议签到表单。
3.2.4.2.方案编制活动
u方案编制活动的工作流程
方案编制活动的目标是整理评估准备活动中获取的信息系统相关资料,为系统评估活动提供最基本的文档和指导方案。
方案编制活动包括评估对象确定、评估指标确定、评估检查点确定、评估内容确定及评估方案编制五项主要任务。
u方案编制活动的主要任务
Ø评估对象确定
根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,以及与此相关的商用密码应用情况,确定出本次评估的评估对象。
☞输入:完成的调查表格,评估作业指导书。
☞输出/产品:评估方案的评估对象部分。
Ø评估指标确定
根据已经了解到的被测系统定级结果,确定出本次评估的评估指标。
输入:完成的调查表格,信息系统密码应用基本要求,评估作业指导书。
☞输出/产品:评估方案的评估指标部分。
Ø评估检查点确定
评估过程中,需要对一些关键安全点进行现场检查确认,比如利用工具抓包测试、查看关键设备的配置、确认密码算法、密码技术、密码产品、密码系统的使用情况等等。这些检查点需要在方案编制时考虑,并且充分考虑到检查的可行性和风险,最低限度的避免对被测系统,尤其是在线运行业务系统的影响。
☞输入:被测系统详细结构,选用的密码算法、密码技术、密码产品、密码系统详细信息,信息系统密码应用基本要求,评估作业指导书。
☞输出/产品:评估方案的评估检查点部分。
Ø评估内容确定
本部分确定系统评估的具体实施内容,即评估单元内容。
☞输入:完成的调查表格,评估方案的评估对象、评估指标及评估工具接入点部分,评估作业指导书。
☞输出/产品:评估方案的评估单元实施部分。
Ø评估方案编制
评估方案是评估工作实施的基础,指导评估工作的现场实施活动。评估方案应包括但不局限于以下内容:项目概述、评估对象、评估指标、测试检查点以及评估单元实施等。
☞输入:委托评估协议书,完成的调研表格,信息系统密码应用基本要求中相应等级的技术和管理要求,评估方案的评估对象、评估指标、测试检查点、评估内容部分,评估作业指导书。
☞输出/产品:经过评审和确认的评估方案文本。
3.2.4.3.系统评估活动
u系统评估活动的工作流程
系统评估活动通过与评估委托单位进行沟通和协调,为系统评估的顺利开展打下良好基础,然后依据评估方案实施系统评估工作,将评估方案和评估工具等具体落实到系统评估活动中。系统评估工作应取得分析与报告编制活动所需的、足够的证据和资料。
系统评估活动包括系统评估准备、系统评估和结果记录、结果确认和资料归还三项主要任务。
u系统评估活动的主要任务
Ø系统评估准备
本任务启动系统评估,是保证评估机构能够顺利实施评估的前提。
☞输入:系统评估授权书,评估方案,风险告知书,风险规避方案等。
☞输出/产品:会议记录,更新后的评估计划和评估程序,确认的评估授权书等。
Ø系统评估和结果记录
评估小组根据评估方案以及系统评估准备的结果,安排评估人员在现场完成评估工作。
☞输入:评估方案,评估作业指导书,评估结果记录表格,被测系统的相关文档。
☞输出/产品:评估结果记录,工具测试完成后的电子输出记录。
Ø结果确认和资料归还
☞输入:评估结果记录,工具测试完成后的电子输出记录。
☞输出/产品:系统评估中发现的问题汇总,证据和证据源记录,评估委托单位的书面认可文件。
3.2.4.4.分析与报告编制活动
u分析与报告编制活动的工作流程
在系统评估工作结束后,评估机构应对系统评估获得的评估结果(或称评估证据)进行汇总分析,形成评估结论,并编制评估报告。
评估人员在初步判定评估单元结果后,还需进行整体评估,经过整体评估后,有的评估单元结果可能会有所变化,需进一步修订评估单元结果,而后进行风险分析和评价,形成评估结论。分析与报告编制活动包括单项评估结果判定、评估单元结果判定、整体评估、风险分析、密码等级评估结论形成及评估报告编制六项主要任务。
u分析与报告编制活动的主要任务
Ø单项评估结果判定
本任务主要是针对单项评估指标,结合具体评估对象,客观、准确地分析评估证据,形成初步单项评估结果,单项评估结果是形成密码等级评估结论的基础。
☞输入:技术安全和管理安全的单项评估结果记录,评估方案,评估作业指导书。
☞输出/产品:密码评估报告的评估单元的结果记录部分。
Ø评估单元结果判定
本任务主要是将单项评估结果进行汇总,分别统计不同评估对象的单项评估结果,从而判定评估单元结果,并以表格的形式逐一列出。
☞输入:评估报告的评估单元的结果记录部分,评估作业指导书。
☞输出/产品:密码评估报告的评估单元的结果汇总部分。
Ø整体评估
针对单项评估结果的不符合项,采取逐条判定的方法,给出整体评估的具体结果,并对系统结构进行整体安全评估。
☞输入:评估报告的评估单元的结果汇总部分,评估作业指导书。
☞输出/产品:评估报告的整体评估部分。
Ø风险分析
评估人员依据信息系统密码应用的相关规范和标准,采用风险分析的方法分析密码评估结果中存在的安全问题可能对被测系统安全造成的影响。
☞输入:完成的调查表格,评估报告的评估单元的结果汇总及整体评估部分,评估作业指导书。
☞输出:密码评估报告的评估结果汇总及风险分析和评价部分。
Ø密码等级评估结论形成
评估人员在评估结果汇总的基础上,找出被测系统密码保护现状与密码应用安全性评估要求之间的差距,并形成密码等级评估结论。
☞输入:评估报告的评估结果汇总部分,评估作业指导书。
☞输出/产品:密码评估报告的密码等级评估结论部分。
Ø密码评估报告编制
评估报告应包括但不局限于以下内容:概述、被测系统描述、评估对象说明、评估指标说明、评估内容和方法说明、评估单元、整体评估、评估结果汇总、风险分析和评价、评估结论、整改建议等。
其中,概述部分描述被测系统的总体情况、本次评估的主要评估目的和依据;被测系统描述、评估对象、评估指标、评估内容和方法等部分内容编制时可以参考评估方案相关部分内容,有改动的地方应根据实际评估情况进行修改。
☞输入:评估方案,评估单元的结果记录和结果汇总部分,整体评估部分,风险分析和评价部分、评估结论部分,评估作业指导书。
☞输出/产品:经过评审和确认的被测系统评估报告。
4.项目服务要求
4.1.项目实施要求
项目实施过程中,投标人应遵循国家标准、行业标准。
在项目实施中投标人须做到:
1.提供完整的系统实施方案和项目实施管理办法;
2.项目实施完成后提供可靠的后期技术服务工作;
3.严格按照双方确定的计划进度保质保量完成工作;
4.规范项目实施过程中的文档管理。
4.2.项目验收要求
中标人必须提供给业主详细的项目验收方案。
4.2.1.验收组织
成立由业主、中标人以及其他有关人员组成的验收小组,负责对项目进行全面的验收。
4.2.2.验收标准
1)标准化:项目验收最关键的指标,应确保测评过程符合国家标准规范;
2)系统稳定性:在测评过程中应确保软硬件环境的稳定性、运行正常;
3)系统文档:验收文档是否齐全、规范、准确、详细;
4)系统可操作性:交付成果清晰、通俗易懂。
4.3.售后服务要求
对于现状测评和评估过程中发现的安全问题,投标人应先出具问题汇总报告,并给招标人预留三十天的整改时间,整改完成后投标人提供一次全面问题复查,并出具《网络安全等级保护测评报告》和《商用密码应用安全评估报告》。同时招标针对本次测评和评估范围内的问题提供一年期的远程技术咨询服务。
5.技术、商务评分表
海南热带雨林国家公园监测设施运营管理项目。
二、项目概况
本次对五指山分局智慧管理游客中心综合运营管控系统(三级)进行网络安全等级保护测评和密码应用安全性评估进行邀标。
三、邀标单位
海南热带雨林国家公园管理局五指山分局。
四、招标方式
竞争性磋商
五、报名资格要求
1、具有独立法人资格,持有合法有效的法人证书,并配备符合行业要求的技术人员,需提供事业单位法人证书、营业执照和相关资质材料(复印件加盖单位公章)。
2、本项目的特定资格要求:供应商在国家密码管理局公布的国家密码管理局公告(第42号)《商用密码应用安全性评估试点机构目录》中;供应商具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书。
六、报名所需资料
1、报价函,报价明细,报价函格式自拟;
2、须提供法人证书(副本)和相关资质证书(留复印件,复印件加盖公司公章);
3、必须为未被列入信用中国网站(www.creditchina.gov.cn)的“失信被执行人”、“重大税收违法案件当事人名单”、“政府采购严重违法失信名单”;(提供查询结果的网页截图并加盖单位公章);
4、提供前3年内在经营活动中没有重大违法记录的书面声明并加盖公章;
5、现场报名人员须提供法人授权委托书(附双方身份证复印件和联系方式);
6、提供单位近期工作业绩。
以上材料按照顺序装订并密封。
七、报名时间
2023年10月19日至2023年10月23日。
八、报名地点
海南热带雨林国家公园管理局五指山分局五指山市三月三大道河南一横路1号。
九、发布公告的媒介
本次选聘公告在五指山市人民政府网站发布。
十、联系人及联系方式
罗绍忠 18889108600
海南热带雨林国家公园管理局五指山分局
2023年10月19日
用户需求
1.项目背景
通过委托专业的网络安全等级保护测评和商用密码应用评估服务机构,对五指山分局智慧管理游客中心综合运营管控系统安全保护等级进行需求分析,并协助用户方完成备案相关事宜。依据等保2.0标准和密码标准体系,如《信息安全技术 网络安全等级保护基本要求》(GBT22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GBT28448-2019)、《信息安全技术 信息系统密码应用基本要求》(GBT 39786-2021)、《信息系统密码应用测评要求》(GMT 0115-2021)对信息系统的物理机房、网络结构、应用系统、主机、网络及安全设备等进行合规性检查,分析信息系統与安全保护等级要求及密码应用要求之间的差距,并出具《网络安全等级保护测评报告》和《商用密码应用安全评估报告》及提出具有针对性的整改意见。
2.项目工期和地点
项目实施工期:至合同签订起50日内提交测评报告及相关文档。
地点:用户指定。
3.项目需求
3.1.网络安全等级保护测评
3.1.1.测评内容
1、对用户的信息系统进行摸底、分析和梳理,提出详细的测评方案及完成系统备案工作。
2、逐一对信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全测评;
(2)安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全测评。
3、完成测评工作后,出具符合等保要求的网络安全保护等级测评报告,提出整改意见。
3.1.2.测评输出(包括但不限于以下内容)
(1)网络安全等级保护定级相关文件和报告;
(2)网络安全等级保护测评报告。
3.1.3.测评对象描述
测评对象信息如下:
序号 | 被测系统名称 | 安全等级 | 备注 |
1. | 智慧管理游客中心综合运营管控系统 | 三级 |
3.1.4.测评服务要求
网络等级保护测评过程需按照《信息安全技术 网络安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
(1)测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。
详细要求见下表:
项目内容 | 工作内容 | 成果输出 |
项目启动 | 1.组建测评项目组 | 向招标人提交《项目计划书》 《提供资料清单》 |
2.编制《项目计划书》 | ||
3.确定测评委托单位应提供的资料 | ||
信息收集分析 | 定级报告及整改方案分析 | 《系统基本情况分析报告》 |
1.整理调查表单 | ||
2.发放调查表单给测评委托单位 | ||
3.协助测评委托单位填写调查表 | ||
4.收回调查结果 | ||
5.分析调查 | ||
工具和表单准备 | 1.调试测评工具 | 确定测评工具(测评工具清单) 《现场测评授权书》 《测评结果记录表》 《文档交接单》 |
2.模拟被测系统搭建测评环境 | ||
3.模拟测评 | ||
4.准备打印表单 |
(2)方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。
详细要求见下表:
工作内容 | 工作详细任务 | 输出成果 |
一、测评对象确认 | 识别被测系统等级 识别被测系统的整体结构 识别被测系统的边界 识别被测系统的网络区域 识别被测系统的重要节点和业务应用 确定测评对象 | 《测评方案》的测评对象部分 |
二、测评指标确定 | 识别被测系统业务信息和系统服务安全保护等级 | 《测评方案》的测评指标部分 |
选择对应等级的安全要求作为测评指标 | ||
就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标 | ||
三、工具测试点确定 | 确定工具测试的测评对象 选择测试路径 确定测试工具的接入点 | 《测评方案》的测试工具接入点部分 |
四、测试内容确定 | 识别每个测评对象的测评指标 | 《测评方案》的单项测评实施和系统测评实施部分 |
识别每个测评对象对应的每个测试指标的测试方法 | ||
五、测评指导书开发 | 从已有的测评指导书中选择与测评对象对应的手册 | 《测评方案》的测评实施手册部分 |
针对没有现成测评指导书的测评对象,开发新的测评指导书 | ||
六、测评方案编制 | 描述测评项目基本情况和工作依据 | 向招标人提交 《测评方案》 |
描述被测系统的整体结构、边界和网络区域 | ||
描述被测系统的重要节点和业务应用 | ||
描述测评指标 | ||
描述测评对象 | ||
描述测评内容和方法 |
(3)现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
详细要求见下表:
工作内容 | 工作详细任务 | 输出 |
1.现场测评准备 | 现场测评授权书签署 | 会议记录、确认的授权委托书、更新后的测评计划和测评方案 |
召开现场测评启动会 | ||
双方确认测评方案 | ||
双方确认配合人员、环境等资源 | ||
确认信息系统已经备份 | ||
测评方案、结构记录表格等资料更新 | ||
2.现场测评和结构记录 | 依据测评指导书实施测评 | 访谈结果:技术安全和管理安全测评的测评结果记录或录音 文档审查结果: 管理安全测评的测评结果记录 配置检查结果: 技术安全测评的网络、主机、应用测评结果记录表格 工具测试结果: 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 实地察看结果: 技术安全测评结果记录 测评结果确认: 现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件 |
记录测评获取的证据、资料等信息 | ||
汇总测评记录,如果需要,实施补充测评 | ||
3.结果确认和资料归还 | 召开现场测评结束会 | |
测评委托单位确认测评过程中获取的证据和资料的正确性,并签字认可 | ||
测评人员归还借阅的各种资料 |
(4)报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。
详细要求见下表:
工作内容 | 工作详细任务 | 工作依据(模版) |
1.单项测评结果判定 | 分析测评项所对抗威胁的存在情况 | 等级测评报告的单项测评结果部分 |
分析单个测评项是否有多方面的要求内容,依据“优势证据”法选择优势证据,并将优势证据与预期测评结果相比较 | ||
综合判定单个测评项的测评结果 | ||
2.单元测评结果判定 | 汇总每个测评对象在每个测评单元的单项测评结果 | 等级测评报告的单项测评结果汇总分析部分 |
判定每个测评对象的单元测评结果 | ||
3.整体测评 | 分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况 | 等级测评报告的系统整体测评分析部分 |
分析被测系统整体结构的安全性对结果的影响情况 | ||
4.风险分析 | 整体测评后的单项测评结果再次汇总 | 等级测评报告的风险分析部分 |
分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性 | ||
分析威胁利用安全问题后造成的影响程度 | ||
为被测系统面临的风险进行赋值 | ||
评价风险分析结果 | ||
5.等级测评结论形成 | 统计再次汇总后的单项测评结果为部分符合和不符合项的项数 | 等级测评报告的等级测评结论部分 |
形成等级测评结论 | ||
6.测评报告编制 | 概述测评项目情况 | 等级测评报告 提交招标人 |
描述被测系统情况 | ||
描述测评范围和方法 | ||
描述整体测评情况 | ||
汇总测评结果 | ||
描述风险情况 | ||
给出等级测评结论和整改建议 |
3.2.商用密码应用安全评估
3.2.1.评估内容
1、对商用密码应用方案进行分析和梳理,确认相关密码应用设计和建设以及重要敏感数据,提出详细的评估方案。
2、逐一对信息系统进行商用密码应用安全评估,评估的内容包括但不限于以下内容:
(1)安全技术测评:包括物理和环境安全、网络和通信安全、设备和计算安全和应用和数据安全四个方面的安全测评;
(2)安全管理测评:包括安全管理、人员管理、建设运行和应急处置四个方面的安全测评。
3、完成评估工作后,出具符合密评要求的商用密码应用评估报告,提出整改意见并协助完成系统备案。
3.2.2.评估输出(包括但不限于以下内容)
(1)商用密码应用评估备案相关文件和报告;
(2)商用密码应用安全评估报告。
3.2.3.评估对象描述
评估对象信息如下:
序号 | 被测系统名称 | 安全等级 | 部署位置 |
1. | 智慧管理游客中心综合运营管控系统 | 三级 | 海南热带雨林国家公园管理局五指山分局本地机房 |
3.2.4.评估服务要求
信息系统开展的实际密码评估,按照《信息系统密码应用基本要求》,结合《信息系统密码测评要求》给出每个要求条款的评估实施方法。首先给出总体要求、典型密码产品应用、密码功能的评估实施方法,然后从密码技术应用的物理和环境、网络和通信、设备和计算、应用和数据及安全管理等方面进行评估。评估过程分为四项基本评估活动:评估准备活动、方案编制活动、系统评估活动、分析与报告编制活动。评估双方之间的沟通与洽谈应贯穿整个评估过程。
3.2.4.1.评估准备活动
u评估准备活动的工作流程
评估准备活动的目标是顺利启动评估项目,准备评估所需的相关资料,为顺利编制评估方案打下良好的基础。
评估准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。
u评估准备活动的主要任务
Ø项目启动
在项目启动任务中,评估机构组建密码评估项目组,获取评估委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个评估项目的实施做基本准备。
☞输入:委托评估协议书、保密协议等。
☞输出/产品:项目计划书。
Ø信息收集和分析
评估机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和商用密码保护情况,为编写评估方案和开展系统评估工作奠定基础。
☞输入:调查表格,被测系统总体描述文件,被测系统商用密码总体描述文件,安全管理制度文件,密钥管理制度,各种密码安全规章制度及相关过程管理记录、配置管理文档,评估委托单位的信息化建设与发展状况以及联络方式;密码应用方案及评审意见,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次测评报告。
☞输出/产品:完成的调查表格。
Ø工具和表单准备
评估项目组成员在进行系统评估之前,熟悉与被测系统相关的各种组件、调试评估工具、准备各种表单等。
☞输入:各种与被测系统相关的技术资料。
☞输出/产品:选用的评估工具清单,打印的各类表单,如系统评估授权书、风险告知书、文档交接单、会议记录表单、会议签到表单。
3.2.4.2.方案编制活动
u方案编制活动的工作流程
方案编制活动的目标是整理评估准备活动中获取的信息系统相关资料,为系统评估活动提供最基本的文档和指导方案。
方案编制活动包括评估对象确定、评估指标确定、评估检查点确定、评估内容确定及评估方案编制五项主要任务。
u方案编制活动的主要任务
Ø评估对象确定
根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,以及与此相关的商用密码应用情况,确定出本次评估的评估对象。
☞输入:完成的调查表格,评估作业指导书。
☞输出/产品:评估方案的评估对象部分。
Ø评估指标确定
根据已经了解到的被测系统定级结果,确定出本次评估的评估指标。
输入:完成的调查表格,信息系统密码应用基本要求,评估作业指导书。
☞输出/产品:评估方案的评估指标部分。
Ø评估检查点确定
评估过程中,需要对一些关键安全点进行现场检查确认,比如利用工具抓包测试、查看关键设备的配置、确认密码算法、密码技术、密码产品、密码系统的使用情况等等。这些检查点需要在方案编制时考虑,并且充分考虑到检查的可行性和风险,最低限度的避免对被测系统,尤其是在线运行业务系统的影响。
☞输入:被测系统详细结构,选用的密码算法、密码技术、密码产品、密码系统详细信息,信息系统密码应用基本要求,评估作业指导书。
☞输出/产品:评估方案的评估检查点部分。
Ø评估内容确定
本部分确定系统评估的具体实施内容,即评估单元内容。
☞输入:完成的调查表格,评估方案的评估对象、评估指标及评估工具接入点部分,评估作业指导书。
☞输出/产品:评估方案的评估单元实施部分。
Ø评估方案编制
评估方案是评估工作实施的基础,指导评估工作的现场实施活动。评估方案应包括但不局限于以下内容:项目概述、评估对象、评估指标、测试检查点以及评估单元实施等。
☞输入:委托评估协议书,完成的调研表格,信息系统密码应用基本要求中相应等级的技术和管理要求,评估方案的评估对象、评估指标、测试检查点、评估内容部分,评估作业指导书。
☞输出/产品:经过评审和确认的评估方案文本。
3.2.4.3.系统评估活动
u系统评估活动的工作流程
系统评估活动通过与评估委托单位进行沟通和协调,为系统评估的顺利开展打下良好基础,然后依据评估方案实施系统评估工作,将评估方案和评估工具等具体落实到系统评估活动中。系统评估工作应取得分析与报告编制活动所需的、足够的证据和资料。
系统评估活动包括系统评估准备、系统评估和结果记录、结果确认和资料归还三项主要任务。
u系统评估活动的主要任务
Ø系统评估准备
本任务启动系统评估,是保证评估机构能够顺利实施评估的前提。
☞输入:系统评估授权书,评估方案,风险告知书,风险规避方案等。
☞输出/产品:会议记录,更新后的评估计划和评估程序,确认的评估授权书等。
Ø系统评估和结果记录
评估小组根据评估方案以及系统评估准备的结果,安排评估人员在现场完成评估工作。
☞输入:评估方案,评估作业指导书,评估结果记录表格,被测系统的相关文档。
☞输出/产品:评估结果记录,工具测试完成后的电子输出记录。
Ø结果确认和资料归还
☞输入:评估结果记录,工具测试完成后的电子输出记录。
☞输出/产品:系统评估中发现的问题汇总,证据和证据源记录,评估委托单位的书面认可文件。
3.2.4.4.分析与报告编制活动
u分析与报告编制活动的工作流程
在系统评估工作结束后,评估机构应对系统评估获得的评估结果(或称评估证据)进行汇总分析,形成评估结论,并编制评估报告。
评估人员在初步判定评估单元结果后,还需进行整体评估,经过整体评估后,有的评估单元结果可能会有所变化,需进一步修订评估单元结果,而后进行风险分析和评价,形成评估结论。分析与报告编制活动包括单项评估结果判定、评估单元结果判定、整体评估、风险分析、密码等级评估结论形成及评估报告编制六项主要任务。
u分析与报告编制活动的主要任务
Ø单项评估结果判定
本任务主要是针对单项评估指标,结合具体评估对象,客观、准确地分析评估证据,形成初步单项评估结果,单项评估结果是形成密码等级评估结论的基础。
☞输入:技术安全和管理安全的单项评估结果记录,评估方案,评估作业指导书。
☞输出/产品:密码评估报告的评估单元的结果记录部分。
Ø评估单元结果判定
本任务主要是将单项评估结果进行汇总,分别统计不同评估对象的单项评估结果,从而判定评估单元结果,并以表格的形式逐一列出。
☞输入:评估报告的评估单元的结果记录部分,评估作业指导书。
☞输出/产品:密码评估报告的评估单元的结果汇总部分。
Ø整体评估
针对单项评估结果的不符合项,采取逐条判定的方法,给出整体评估的具体结果,并对系统结构进行整体安全评估。
☞输入:评估报告的评估单元的结果汇总部分,评估作业指导书。
☞输出/产品:评估报告的整体评估部分。
Ø风险分析
评估人员依据信息系统密码应用的相关规范和标准,采用风险分析的方法分析密码评估结果中存在的安全问题可能对被测系统安全造成的影响。
☞输入:完成的调查表格,评估报告的评估单元的结果汇总及整体评估部分,评估作业指导书。
☞输出:密码评估报告的评估结果汇总及风险分析和评价部分。
Ø密码等级评估结论形成
评估人员在评估结果汇总的基础上,找出被测系统密码保护现状与密码应用安全性评估要求之间的差距,并形成密码等级评估结论。
☞输入:评估报告的评估结果汇总部分,评估作业指导书。
☞输出/产品:密码评估报告的密码等级评估结论部分。
Ø密码评估报告编制
评估报告应包括但不局限于以下内容:概述、被测系统描述、评估对象说明、评估指标说明、评估内容和方法说明、评估单元、整体评估、评估结果汇总、风险分析和评价、评估结论、整改建议等。
其中,概述部分描述被测系统的总体情况、本次评估的主要评估目的和依据;被测系统描述、评估对象、评估指标、评估内容和方法等部分内容编制时可以参考评估方案相关部分内容,有改动的地方应根据实际评估情况进行修改。
☞输入:评估方案,评估单元的结果记录和结果汇总部分,整体评估部分,风险分析和评价部分、评估结论部分,评估作业指导书。
☞输出/产品:经过评审和确认的被测系统评估报告。
4.项目服务要求
4.1.项目实施要求
项目实施过程中,投标人应遵循国家标准、行业标准。
在项目实施中投标人须做到:
1.提供完整的系统实施方案和项目实施管理办法;
2.项目实施完成后提供可靠的后期技术服务工作;
3.严格按照双方确定的计划进度保质保量完成工作;
4.规范项目实施过程中的文档管理。
4.2.项目验收要求
中标人必须提供给业主详细的项目验收方案。
4.2.1.验收组织
成立由业主、中标人以及其他有关人员组成的验收小组,负责对项目进行全面的验收。
4.2.2.验收标准
1)标准化:项目验收最关键的指标,应确保测评过程符合国家标准规范;
2)系统稳定性:在测评过程中应确保软硬件环境的稳定性、运行正常;
3)系统文档:验收文档是否齐全、规范、准确、详细;
4)系统可操作性:交付成果清晰、通俗易懂。
4.3.售后服务要求
对于现状测评和评估过程中发现的安全问题,投标人应先出具问题汇总报告,并给招标人预留三十天的整改时间,整改完成后投标人提供一次全面问题复查,并出具《网络安全等级保护测评报告》和《商用密码应用安全评估报告》。同时招标针对本次测评和评估范围内的问题提供一年期的远程技术咨询服务。
5.技术、商务评分表
评标项目 | 评标分值 | 评标方法描述 |
需求理解与分析 | 8 | 密码应用安全性测评方案需求理解与分析,了解密码应用安全性评估各项技术要求,针对被评估系统能够准确分析和确定评估对象,并确定各评估对象对应的评估方法。方案详细完整,针对性和可操作性强,得8分;方案较为详细,有较好针对性和可操作性,得5分;方案基本完整,基本可行,得2分;方案不合理,不能满足采购需求或未提供的,不得分。 |
管理措施与进度安排 | 8 | 项目管理措施与进度安排,项目实施进度安排且进度保障措施完善,任务分工合理,得8分;项目工作计划不够详实、实施进度安排及进度保障措施不够完善,任务分工较简单,得5分;项目工作计划不详实、实施进度安排及进度保障措施不完善,任务分工简单,得2分;管理措施与进度安排不合理,不能满足采购采购需求或未提供的,不得分。 |
质量管理 | 6 | 质量管理,质量保证组织机构健全,内部分工合理,职责清晰,得6分;质量保证组织机构较为健全,内部分工较为合理,职责较清晰,得4分;组织机构基本健全,内部职责分工基本合理,得2分;组织机构不健全,内部职责分工不合理或未提供的,不得分。 |
关键点控制计划与方案 | 4 | 项目关键点控制计划与方案,关键点控制的内容满足项目需求,安排合理得4分;关键点控制的内容基本满足项目需求,基本合理、科学得2分;关键点控制的内容不能满足项目需求或未提供的,不得分。 |
拟安排的项目负责人情况 | 10 | 项目团队负责人(仅限一人)要求: |
1、具备高级测评师资质且获得由国家商用密码应用安全性评估人员测评能力考核小组颁发的商用密码应用安全性评估人员资格证书得5分;未提供不得分。 | ||
2、具备中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE),得2分;未提供不得分。 | ||
3、具备国际注册信息系统安全专家CISSP证书(提供原件备查)得3分;未提供不得分。 | ||
【提供人员的有效劳动合同、身份证、资质证书复印件及2022年以来任意3个月的社保缴纳证明材料加盖公章,作为评审依据。资料不按要求提供或扫描件不清晰导致无法辨认的不得分。】 | ||
测试团队履约能力 | 22 | 除项目负责人外,项目团队成员要求: |
1、团队成员具备国家密码管理局密码检测中心颁发的商用密码应用安全性评估人员资格证书的,每提供1人得2分,最高得10分;未提供不得分。 | ||
2、团队成员具备中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE)的,每提供1人得2分,最高得6分;未提供不得分。 | ||
3、团队成员具备团队成员具备密码安全工程师证书的,每提供1人得2分,最高得6分;未提供不得分。 | ||
【提供人员的有效劳动合同、身份证、资质证书复印件及2022年以来任意3个月的社保缴纳证明材料加盖公章,作为评审依据。资料不按要求提供或扫描件不清晰导致无法辨认的不得分。 | ||
企业资质 | 24 | 1、供应商具有ISO9001质量管理体系认证证书得3分。未提供不得分。 |
2、供应商具有 ISO14001环境管理体系认证证书的得3分。未提供不得分。 | ||
3、供应商具有ISO45001职业健康安全管理体系认证证书的得3分。未提供不得分。 | ||
4、供应商具有中国网络安全审查技术与认证中心(CCRC)颁发的信息安全服务资质认证证书的得3分。未提供不得分。 | ||
5、供应商参与中华人民共和国工业和信息化部网络安全技术应用试点示范项目得5分。未提供不得分。 | ||
6、供应商拥有与密码相关的“计算机软件著作权登记证书”,提供1份得1分,最高得7分。未提供不得分。 | ||
【提供相关证书复印件并加盖公章】 | ||
类似业绩 | 8 | 供应商提供近三年类似项目业绩,提供1份得1分,最高得8分。未提供不得分。 |
【提供类似项目业绩的中标通知书或合同复印件】 | ||
投标报价 | 10 | 满足招标文件要求且价格最低的投标报价为评标基准价,其价格分为满分,其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/有效投标报价)×10。对于投标报价明显低于正常市场价格的提供相关证明文件。 |
返回顶部